介绍防火墙登录,组网,策略,会话和检测

最新推荐文章于 2024-05-31 07:59:25 发布
最新推荐文章于 2024-05-31 07:59:25 发布
阅读量1.6k 收藏 45
点赞数 36
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sgg236/article/details/136790179
版权

文章目录

    • 打开USG6000V的web页面
    • 防火墙的组网
    • 安全策略
    • 实际操作
    • 会话表和状态检测

打开USG6000V的web页面

第一步先登录 初始账号: admin    初始密码:Admin@123

然后进入命令行开启web权限

<USG6000V1>sys

[USG6000V1]display ip interface  brief 

[USG6000V1]int g 0/0/0

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

修改端口ip : [USG6000V1-GigabitEthernet0/0/0]ip address  192.168.100.1 24

打开浏览器登录https//192.168.100.1:8443

密码是修改后的密码

防火墙的组网

物理接口

            二层口--不能配IP(普通的二层口;接口对;旁路检测接口)

            三层口--能配IP

交换机切换二层口到三层口  undo portswitch

                    返回  portswitch

BYPASS--设备坏了,防火墙相当于短路,没有办法检测但是依然连接,提高容错。

虚拟接口

       虚拟系统--VRF技术,相当于一台设备被拆分为多台设备,平行运行,互不影响,需要通过接口区分虚拟接口范围

安全策略

首先介绍

传统的包过滤防火墙————其本质为ACL列表,根据数据包中的特征进行过滤,之后对比规则,执行工作。

          数据包中的特征:五元组(源IP,目标IP,源端口,目标端口,网络层的协议)

安全策略----相较于ACL,1:可以在更细的颗粒度下匹配流量:。2:可以对内容进行安全的检测。

安全策略---1,访问控制(运行和拒绝)

                   2,内容检测

实际操作

实际操作

需求:DMZ区域有两台服务器,生产区设备能够访问时间(9:00-18:00),办公区全天都可以访问。

首先第1步:规划网段

先做二层交换机LSW7配置,将生产区划为vlan2 , 办公区划分为vlan3

<Huawei>sys

[Huawei]vlan b 2 3

接口0/0/2

[Huawei]int g 0/0/2

[Huawei-GigabitEthernet0/0/2]port link-type  access 

[Huawei-GigabitEthernet0/0/2]port default  vlan  2

[Huawei-GigabitEthernet0/0/2]qu

接口0/0/3

[Huawei]int g 0/0/3

[Huawei-GigabitEthernet0/0/3]p l a

[Huawei-GigabitEthernet0/0/3]p d v 3

[Huawei-GigabitEthernet0/0/3]qu

接口0/0/1

[Huawei]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type trunk 

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass  vlan 1

其次做防火墙三层口

[USG6000V1]int g 0/0/0

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.100.1 24

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

       第2步:配置IP

按照上面的拓扑图填写好对应 IP

       第3步:路由

       第4步:策略

这里的都是限制流量的条件,单选关系是‘与’,多选为‘或’,如果不进入选择,则默认为any。

这里改一下时间需求即可。

会话表和状态检测

1,会话表;2,状态检测
1,会话表 --- 会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效率。
因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除掉之后,相同五元组的流量再通过防火墙,!应该由其首包重新匹配安全策略,创建会话表,如果无求创建会话表,则将丢弃该数据流的数据。

如果会话表的老化时间过长;会造感系统资源的浪费,同时,有可能导致新的会话表项无法正常建立
如果会话表的老化时间过短:会导致一些需要长时间首发一次的报文连接被系统强行中断,影响业务的转发。

在控制行命令查看会话表:[USG6000V1]display firewall session table 

常见的老化时间表

2,状态检测

状态检测主要检测协议逻辑上的后续报文,以及仅允许逻辑上的第一个报文通过后创建会话表
可以选择开启或者关闭该功能。

在控制行命令查看状态检测:

[USG6000V1]firewall session link-state ?

(?是有多个选项,想要关闭状态检测在前面加一个undo)

 

 


                

        

        

    




    

      

        

            

              
                
                  sgg236
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    36
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    45
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
HCIE-Security Day5:防火墙会话表和转发原理

				
			

			

				

					小梁的博客
				

				

					02-10
					
					6074
					
				

			

		

		

			
				
会话表和转发原理

			
		

	



                

              
                



	

		

			

				
					
查看华为防火墙会话

				
			

			

				

					杨奇的博客
				

				

					06-24
					
					8637
					
				

			

		

		

			
				
Web查看防火墙会话表:

命令行查看防火墙会话表:
<FW1>dis firewall session table 
 Current Total Sessions : 19
 icmp  VPN: public --> public  192.168.1.2:18419 --> 172.16.1.2:2048
 icmp  VPN: public --> public  192.168.1.2:18163 --> 172.16.1.2:2048
 icmp  VPN:

			
		

	



                


  
              

                


	

		

			

				
					
Juniper防火墙查看NAT 会话的命令

					
最新发布

				
			

			

				

					Jian Sun_的博客
				

				

					05-31
					
					144
					
				

			

		

		

			
				
> show security flow session > show security  nat static rule all

			
		

	





	

		

			

				
					
防火墙会话机制

				
			

			

				

					m0_73642707的博客
				

				

					03-09
					
					416
					
				

			

		

		

			
				
当一台主机访问服务器时,第一个数据报文到达防火墙后,防火墙会首先查看会话表。随后的数据报文在到达防火墙时,将不再查看策略表,而是直接查看会话表进行匹配,并据此进行转发。当返回的流量与会话表中的记录匹配时,防火墙将不再进行安全策略检查,从而提高处理效率。这意味着防火墙不仅关注单个报文的内容,还会考虑报文所属的会话状态。在某些特殊情况下,如报文来回路径不一致的组网环境中,防火墙可能只会收到通信过程中的后续报文。在这种模式下,防火墙将能够通过后续报文建立会话,保证业务的正常进行。

			
		

	



		

			
		



	

		

			

				
					
防火墙的基础知识(会话表)

					
热门推荐

				
			

			

				

					captainyuxiaoyu的博客
				

				

					04-04
					
					1万+
					
				

			

		

		

			
				
基本理解
防火墙的作用:隔离内外网
防火墙是什么:指(在遭受入侵时)隔离内外网的设备或者做内外网隔离的策略
历史进程:
黑客:伪造ip,伪造端口号,破解acl和nat(利用nat映射表)
安全:利用Tcp通信过程:握手syn,ack,rst,外网服务器只会发ack和rst,在防火墙上抓外网来的包必须有ack和rst(释放链接)字段才让进,这样可以有效阻止攻击者(当然在攻击者无法造包flag字段情况...

			
		

	





	

		

			

				
					
H3C防火墙会话详细说明

				
			

			

				

					08-06
				

			

		

		

			
				
本文详细介绍了H3C防火墙会话建立转发过程。包括tcp/udp/icmp/rawip等。通过本资源,你会对防火墙有更深层次的理解。

			
		

	





	

		

			

				
					
防火墙工作原理和详解会话

				
			

			

				

					jj1130050965的博客
				

				

					01-03
					
					2632
					
				

			

		

		

			
				
防火墙工作原理
防火墙工作原理:
本质上是查看会话表。

报文到达防火墙,先查看是否会有会话表匹配。

如果有会话表匹配,则匹配会话表转发。
如果没有匹配会话表,看是否能够创建会话表。
前提是必须是首包才能创建会话表。

A.先匹配路由表。B.再匹配安全策略。

TCP: SYN ---------首包
​ SYN+ACK
​ ACK

ICMP echo-request----首包
​ echo-reply

UDP没有首包概念

状态检测机制:
状态尖刺机制开启的情况下,只有首包通过设备才能建立会话表,

			
		

	





	

		

			

				
					
H3C策略路由和QOS常见应用介绍及典型组网分析.pdf

				
			

			

				

					07-30
				

			

		

		

			
				
H3C策略路由和QOS常见应用介绍及典型组网分析

			
		

	





	

		

			

				
					
TD-LTE与LTE FDD融合组网策略

				
			

			

				

					01-19
				

			

		

		

			
				
借鉴TD-LTE与LTE FDD融合发展的成功经验,对融合组网策略和TD-LTE国际化发展面临的挑战进行了分析,提出了TDD与FDD共平台融合组网的发展模式和策略,并对通信运营商网络的未来发展提出了针对性的建议。TD-LTE与LTE ...

			
		

	





	

		

			

				
					
中国移动-SA组网策略.pdf

				
			

			

				

					10-26
				

			

		

		

			
				
介绍NSA/SA组网方案与策略,参数规划等。 NSA信令锚点在LTE基站,SA信令锚点在NR基站;

			
		

	





	

		

			

				
					
NGFW盒式防火墙开局及组网规划2022.docx

				
			

			

				

					04-07
				

			

		

		

			
				
NGFW盒式防火墙开局及组网规划2022.docx

			
		

	





	

		

			

				
					
重选切换组网策略探讨-网优必备.pptx

				
			

			

				

					11-13
				

			

		

		

			
				
综上所述,重选切换组网策略的探讨是网络优化的基石,涉及到复杂的参数配置和策略设计。有效的策略可以提高网络覆盖,减少掉话,优化资源分配,提升用户体验。在实际操作中,网络优化工程师需要根据网络状况、用户...

			
		

	





	

		

			

				
					
华为防火墙会话

				
			

			

				

					月球挖掘机
				

				

					08-03
					
					1379
					
				

			

		

		

			
				
所以该条命令中提供多个参数可以选择需要查看会话表的类型,有效利用这些参数可以减少查看会话表时显示的条目,缩短定位问题的时间。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。此处只能查看当前依旧存活的会话信息,假如某条会话创建以后,很快又被删除或是老化掉了,则该条会话信息将不会在此显示。

			
		

	





	

		

			

				
					
华为防火墙-2-状态检测会话

				
			

			

				

					macob的专栏
				

				

					07-26
					
					4073
					
				

			

		

		

			
				
华为防火墙 状态检测  会话

			
		

	





	

		

			

				
					
利用H3C Secpath防火墙限制TCP会话连接

				
			

			

				

					weixin_34218890的博客
				

				

					09-08
					
					1402
					
				

			

		

		

			
				
在局域网内的某台PC感染病毒,它会发起大量的连接,迅速消耗路由器资源,导致路由器效率下降,影响其他用户使用。NAT限制最大连接数可以避免出现这种情况。通过连接数限制功能,可以设置某种特征的连接数上限,从而可以实现NAT限制最大连接数的功能。配置如下:# 创建ACL并配置规则,来匹配源IP地址为192.168.1.2/24的数据。system-view[Quidway] acl...

			
		

	





	

		

			

				
					
【计算机基础】防火墙

				
			

			

				

					XiaoYabeI的博客
				

				

					05-01
					
					3052
					
				

			

		

		

			
				
工程师CCNA=HCIA

资深工程师CCNP=HCIP

技术专家CCIE=HCIE

IPS:入侵防御系统,发现攻击和入侵进行阻断
	IDS:入侵检测系统,检测有无攻击
	漏洞扫描:发现本地服务器/PC,存在哪些中高低危的风险,解决漏洞保证网络安全
	DoS:拒绝服务,攻击有计算机网络宽带攻击和连通性攻击
	DDOS:分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用
防火墙是一个系统,通过过滤传输数据达到防止未经授权的网络传输侵入私有网络,阻止不必要流量的同时允许必要流

			
		

	





	

		

			

				
					
查看华为防火墙会话和流量top数据

				
			

			

				

					MrZhangTS的博客
				

				

					02-10
					
					1666
					
				

			

		

		

			
				
查看华为防火墙会话和流量top数据

			
		

	





	

		

			

				
					
华为USG防火墙配置命令

				
			

			

				

					weixin_43465752的博客
				

				

					09-17
					
					1万+
					
				

			

		

		

			
				
华为USG防火墙配置命令

			
		

	





	

		

			

				
					
华三防火墙同步会话命令

				
			

			

				

					03-28
				

			

		

		

			
				
华三防火墙同步会话命令如下:

1. 开启同步会话功能:sync-session enable

2. 配置同步会话的对端IP地址:sync-session peer ip-address [ipv6-address]

3. 配置同步会话的对端端口号:sync-session peer port port-number

4. 配置同步会话的密码:sync-session password password

5. 配置同步会话的密钥:sync-session secret secret-key

6. 查看同步会话的状态:display sync-session status

7. 查看同步会话的详细信息:display sync-session verbose

8. 清除同步会话的状态:reset sync-session status

以上是常用的华三防火墙同步会话命令,可以根据实际需要进行配置和操作。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值